WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Cảnh báo: Saint Bot – Mã độc mới lấy cắp mật khẩu người dùng
Mã độc này được cho là xuất hiện lần đầu vào tháng 1/2021 và có dấu hiệu đang được tích cực phát triển.
Saint Bot thực hiện hành vi thả những thành phần chuyên đánh cắp (ví dụ như Taurus Stealer) hoặc những trình tải khác, nhưng cũng có khả năng phân phối bất kỳ phần mềm độc hại nào. Hơn nữa, Saint Bot sử dụng nhiều kỹ thuật không mới nhưng lại khá tinh vi.
Theo phân tích của Malwarebytes, chuỗi lây nhiễm bắt đầu bằng một email lừa đảo chứa tệp ZIP nhúng ("bitcoin.zip") tự nhận là ví bitcoin nhưng thực tế là một tập lệnh PowerShell dưới lớp vỏ tệp shortcut .LNK. Tập lệnh PowerShell tải xuống tệp thực thi WindowsUpdate.exe, sau đó tệp WindowsUpdate.exe tải một tệp thực thi thứ hai (InstallUtil.exe) để tải xuống hai tệp thực thi khác là def.exe và putty.exe (def.exe chịu trách nhiệm vô hiệu hóa Windows Defender, còn putty.exe chứa tải trọng độc hại kết nối với máy chủ C&C để khai thác thêm).
Kỹ thuật rối mã trong từng giai đoạn lây nhiễm cùng với các kỹ thuật chống phân tích của mã độc cho phép kẻ đứng sau khai thác các thiết bị bị lây nhiễm mà không thu hút sự chú ý.
Bên cạnh việc "kiểm tra khả năng tự vệ" để xác minh trình gỡ lỗi hoặc môi trường ảo, Saint Bot được thiết kế để không thực thi ở Romania và các quốc gia được chọn trong Cộng đồng các quốc gia độc lập (CIS), bao gồm Armenia, Belarus, Kazakhstan, Moldova, Nga và Ukraine.
Danh sách các lệnh được mã độc hỗ trợ bao gồm:
- tải xuống và thực thi các tải trọng khác được truy xuất từ máy chủ C&C
- cập nhật mã độc bot và
- tự gỡ cài đặt khỏi máy bị xâm phạm
Những khả năng này có vẻ không đáng sợ, tuy nhiên không vì thế mà Saint Bot trở nên ít nguy hiểm khi mã độc này có khả năng tải xuống các phần mềm độc hại khác.
Hơn nữa, bản thân các tải trọng được tìm nạp từ các tệp lưu trữ trên Discord, một chiến thuật ngày càng phổ biến trong giới tin tặc, lạm dụng chức năng hợp pháp của các nền tảng như vậy để thực hiện liên lạc C&C, trốn tránh các biện pháp bảo mật và cung cấp phần mềm độc hại.
Saint Bot thực hiện hành vi thả những thành phần chuyên đánh cắp (ví dụ như Taurus Stealer) hoặc những trình tải khác, nhưng cũng có khả năng phân phối bất kỳ phần mềm độc hại nào. Hơn nữa, Saint Bot sử dụng nhiều kỹ thuật không mới nhưng lại khá tinh vi.
Theo phân tích của Malwarebytes, chuỗi lây nhiễm bắt đầu bằng một email lừa đảo chứa tệp ZIP nhúng ("bitcoin.zip") tự nhận là ví bitcoin nhưng thực tế là một tập lệnh PowerShell dưới lớp vỏ tệp shortcut .LNK. Tập lệnh PowerShell tải xuống tệp thực thi WindowsUpdate.exe, sau đó tệp WindowsUpdate.exe tải một tệp thực thi thứ hai (InstallUtil.exe) để tải xuống hai tệp thực thi khác là def.exe và putty.exe (def.exe chịu trách nhiệm vô hiệu hóa Windows Defender, còn putty.exe chứa tải trọng độc hại kết nối với máy chủ C&C để khai thác thêm).
Kỹ thuật rối mã trong từng giai đoạn lây nhiễm cùng với các kỹ thuật chống phân tích của mã độc cho phép kẻ đứng sau khai thác các thiết bị bị lây nhiễm mà không thu hút sự chú ý.
Bên cạnh việc "kiểm tra khả năng tự vệ" để xác minh trình gỡ lỗi hoặc môi trường ảo, Saint Bot được thiết kế để không thực thi ở Romania và các quốc gia được chọn trong Cộng đồng các quốc gia độc lập (CIS), bao gồm Armenia, Belarus, Kazakhstan, Moldova, Nga và Ukraine.
Danh sách các lệnh được mã độc hỗ trợ bao gồm:
- tải xuống và thực thi các tải trọng khác được truy xuất từ máy chủ C&C
- cập nhật mã độc bot và
- tự gỡ cài đặt khỏi máy bị xâm phạm
Những khả năng này có vẻ không đáng sợ, tuy nhiên không vì thế mà Saint Bot trở nên ít nguy hiểm khi mã độc này có khả năng tải xuống các phần mềm độc hại khác.
Hơn nữa, bản thân các tải trọng được tìm nạp từ các tệp lưu trữ trên Discord, một chiến thuật ngày càng phổ biến trong giới tin tặc, lạm dụng chức năng hợp pháp của các nền tảng như vậy để thực hiện liên lạc C&C, trốn tránh các biện pháp bảo mật và cung cấp phần mềm độc hại.
Theo The Hacker News
Chỉnh sửa lần cuối: